29 January 2018
Executive summary
Full forensics report: [PDF]
During the first of week of January 2018, Qurium received numerous reports from Iran concerning a massive distribution of links promoting the download of fake VPN applications. The fake Android mobile applications were distributed by SMS links, taking advantage of the blocking of Telegram in Iran, to deceive users to install the applications.
The first fake application used the name فیلترشکن آمدنیوز (Amadnews Filtershekan) and was hosted in the Amazon Storage, and the second sample impersonated the software “psiphon6” and was initially hosted at Backstory.com cloud service and later on at serverclient12.tk.
Our detailed analysis of the collected samples shows the privacy intrusive capabilities of the fake Android applications and how the attacker(s) behind the fake psiphon6 software can access all personal information on infected devices.
The malware, remotely controlled via the Iranian mobile notification service “pushe.co”, has the ability to snoop the SMS involved in two-factor-authentication. Additionally, the attacker can also gain access to location information and contact details. Based on open source intelligence, we have managed to trace back the source code of the malware to a persona with the name “Amir Parsa Dehfoli”, who is working, or has been working with the Iranian startup company Ad Venture (ad-venture.ir).
During the last week we have shared our findings with the security community including the MAHER/National CERTCC of Iran and we expect to gain a full understanding of who are the actors behind the attacks and their ultimate motivations.
در اولین هفتۀ ماهِ ژانویۀ سال 2018، سازمان کورییِم (Qurium) گزارشهایمتعددی از ایران، مبنی بر توزیع گستردۀ پیوندهایی که شامل دانلود اپلیکیشنهای ویپیانِ جعلی بودند، دریافت کرد. اپلیکیشنهای اندرویدِ جعلی که از طریق پیامک پخش شده بودند، با سوء استفاده از مسدود شدن تلگرام، سعی در گمراه کردن کاربران برای نصب این اپلیکیشنها داشتند.
تا جایی که ما میدانیم، دو نمونه بدافزارِ متفاوت در هفتۀ اولِ ژانویه پخش شد. اولین اپلیکیشن جعلی “فیلترشکن آمدنیوز” (Amadnews VPN) نام داشت و در حوزۀ آمازون استوریج (Amazon Storage) قرار داشت. نمونۀ دوم که هویت نرمافزار “psiphon6”را جعل کرده بود، ابتدا در سرویس ذخیرۀ مجازیِ Backstory.com و سپس در serverclient12.tk قرار داشت.
تحلیلهای جزئیِ نمونههای جمعآوری شده نشان میدهد که این اپلیکیشنهای اندروید توانایی نفوذ به حریم شخصی و دسترسی به تمامی اطلاعات شخصیِ موجود در دستگاههای آلوده را، برای حملهکنندگانی که پشت نرمافزارِ جعلی سایفون6 قرار دارند، فراهم میسازند. این بدافزارها از طریق خدماتِ اطلاعرسانیِ گوشیهای همراه در ایران، pushe.co، از راه دور کنترل میشوند و با دستیابی به فرآیند احراز هویت دو عاملی، قابلیت جاسوسیِ پیامک را دارند. علاوه بر این، حمله کننده میتواند به موقعیتِ مکانیِ گوشی و جزئیات تماسهای آن دسترسی پیدا کند. ردیابیِ کدِ منبعِ بدافزار، با استفاده از منابع اطلاعرسانی آزاد، منتهی به شخصی حقیقی به اسم «امیرپارسا دهفالی» (Amir Parsa Dehfoli) شد که در یک شرکتِ راهاندازی به نام «اد ونچر» (ad-venture.ir) مشغول به کار بوده یا هنوز هم هست.
هفتۀ پیش، ما یافتههای خود را دراختیار جامعۀ تخصصیِ امنیت که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (مرکز ماهر) نیز عضو آن است، گذاشتیم و انتظار داریم که اطلاعات کاملی از گردانندگان این حملهها و انگیزۀ اصلی آنها به دست بیاوریم.
PART I: Tracking Mobile Spyware during the Telegram blocking in Iran – Full forensics report: [PDF] (30 January 2018)
PART II: Fake Mobile App in Iran-When spyware and click froud can put millions of unaware users at risk (5 February 2018)